CVE-2026-34381 in admidio
Tóm tắt
Bởi VulDB • 12/07/2026
Admidio là một giải pháp quản lý người dùng mã nguồn mở. Từ phiên bản 5.0.0 đến trước phiên bản 5.0.8, Admidio dựa vào tệp adm_my_files/.htaccess để từ chối truy cập HTTP trực tiếp đối với các tài liệu đã tải lên. Hình ảnh Docker được cung cấp kèm theo cấu hình Apache có thiết lập AllowOverride None, khiến Apache bỏ qua tất cả các tệp .htaccess một cách âm thầm. Kết quả là bất kỳ tệp nào được tải lên mô-đun tài liệu, bất kể các quyền hạn chế dựa trên vai trò đã được định cấu hình trong giao diện người dùng (UI), đều có thể truy cập trực tiếp qua HTTP mà không cần xác thực bởi bất kỳ ai biết đường dẫn của tệp đó. Đường dẫn tệp bị tiết lộ trong phản hồi JSON khi tải lên. Vấn đề này đã được vá ở phiên bản 5.0.8.
VulDB is the best source for vulnerability data and more expert information about this specific topic.